Некоторые фишинг‑ссылки ведут на storage.googleapis.com, azureblob.core.windows.net или Cloudflare CDN. На первый взгляд это законные адреса, но внутри скрываются страницы, которые имитируют вход в Microsoft 365 или Google Workspace. Пользователь вводит свой логин и пароль, думая, что всё безопасно, а данные тут же оказываются у злоумышленника.
Так работают современные фишинг‑киты. Это готовые наборы инструментов с цепочками перенаправлений, проверкой CAPTCHA и механизмами обхода стандартной защиты. Они фильтруют адреса электронной почты и атакуют в основном корпоративные аккаунты, игнорируя бесплатные почтовые сервисы. Некоторые даже перехватывают токены многофакторной аутентификации, превращая MFA в иллюзию безопасности.
Среди активно используемых инструментов аналитики называют Tycoon2FA, Sneaky2FA и EvilProxy. Они размещаются на легитимных облачных сервисах, скрывая своё назначение и делая обнаружение сложным.
Компании уже не могут полагаться только на блокировку подозрительных доменов. Важно понимать, что каждый сотрудник сам становится частью защиты. Регулярное обучение помогает быстро распознавать подозрительные письма, проверять ссылки перед вводом данных и замечать необычные запросы страниц. Обучение в виде практических кейсов, коротких симуляций фишинга или демонстраций настоящих атак помогает сотрудникам сразу применять знания на практике и не попадаться на уловки злоумышленников.
Каждая ссылка с облачного сервиса может оказаться ловушкой. Внимание к поведению страниц и привычка проверять, куда ведёт ссылка, помогают заметить фишинг раньше, чем это сделают злоумышленники.